导读:网络空间安全是国家安全的重要基石,而网络空间的博弈,归根结底是人跟人的对抗。如何培养高素质的网安人才,为国家、政府和单位储备足够应对危机的网安人员,成为了“大安全”时代的一个重要课题。
近年来,我国网络安全人才培养已经取得重要进展。习近平总书记明确提出“培养网信人才,要下大功夫、下大本钱,建一流的网络空间安全学院”,在国家战略层次提出建设高素质网络安全人才队伍。国务院学位委员会和教育部将网络空间安全增设为一级学科,在教育体系内迈出了重要一步。但与打造网络强国对人才的需求相比还存在较大差距。
360智库综合欧美各国关于网络安全人才建设措施,就如何培养网络安全人才,提出几点思考与建议。
一 网络安全人才培养面临的问题
1 人才缺口大
根据2018年(ISC)2网络安全劳动力研究表明,北美、拉丁美洲、亚太地区(APAC)以及欧洲、中东和非洲(EMEA)的全球网络安全人才缺口已扩大至近300万,其中亚太地区占比最高,达到了214万,北美地区以近50万的人才缺口排名第二。近日,美国政府签署《美国网络安全工作人员》行政令,明确指出美国目前面临30万网络安全人才缺口。
据预测,当前我国网络安全人才缺口达70万,到2020年将急剧增加到140万。近3年来,全国高校网络安全相关专业年均招生1万人左右,加上相关横向领域的毕业生,人才储备远远不够。
2 难以满足网络安全实战需求
网络安全人才具有特殊性。网络安全攻防不对称,对人才的要求比较高。一些学校缺乏网络安全实践场景,导致学生普遍理论知识多,实战能力弱,毕业后也很难满足用人单位的要求。
3 人才评价手段不健全
网络安全人才不仅缺口大,且优秀人才流失严重,其根源在于网络安全作为一个职业来说缺乏能够有效“衡量人才的尺子”,无法形成一个能够囊括全频谱类别角色、覆盖完整职业生命周期,且为业界普遍认可的职业发展路线图。作为一个相对年轻、新兴的职业,网络安全尚未纳入国家职业资格目录。
大量政府部门、事业单位,以及关键信息基础设施运营单位的网络安全从业人员,在评审职称时存在一定困难,特别是寻求向高级别、专家型人才进阶时常常无路可循。而企业中即使设立了相应的人才评价标准和级别,也往往是各行其是、互不兼容,导致整个行业内人员责、权、利难以对等实现。优秀人才在资本的驱动下,只能通过不断变换工作寻找自身升值机会。这样的状况既不利于国家对信息安全人才队伍建设的整体规划和引导,也不利于从业人员提高自身素质、促进就业。
二 欧美各国网络安全人才培养措施
1 美国:在国家层面全面建立网络安全人才培养机制
美国是互联网的发源国,从网络空间获益最大,对其依赖性也最强,同时也最为重视网络安全人才培养,并且已经形成了一套较为成熟的惠及全民的网络安全人才培养机制。具体措施包括:一是重视标准先行,提倡数据量化并统一评判人才培养质量的标准,以做出更加科学的决策。2016年美国发布的国家级网络安全人才框架(NCWF),针对不同类别、不同层次、不同岗位的人才需求,给出了52个工作角色所需的具体知识和能力需求,并制定了详细的培训内容、实施过程和考核标准,具有十分强效的操作性。二是建立政府、学术界和企业的合作伙伴关系,依托高校建立网络安全中心,并邀请企业提供实践机会,扩充高素质网络安全人才的储备。三是开发培训资源,通过在线教育等方式,普及网络安全通识教育和职业教育,促进全民网络安全素质的提高。
2 英国:创新人才培养机制 多样化选拔模式
同美国一样,英国除了将网络安全人才建设上升为国家战略战略高度、出台相关人才认证标准框架和依托高校建立学术研究中心外,英国还创新了自己的人才培养机制。 2017年成立的英国国家网络安全中心(NCSC),通过加强各政府部门和企业的合作,不再只重视少数优秀人才的选拔,而是采用鼓励和扶助的方式促进群体发展,通过提供培训、保障就业、交流互通等多种方式促进人员活力,增强队伍优势。例如针对青少年和女性两个特殊群体,提出针对性的教育培训或鼓励性的福利政策。为青少年提供免费住宿课程、网络学生助学金等优待;为具有 STEM(Science、Technology、Engineering、Mathematics)学位的女性毕业生提供第一份职位;为重返网络技术职业生涯的女性提供针对性的指导和赞助。
3 俄罗斯:确定网络安全人才7个专业优先发展方向
《俄罗斯联邦宪法》明确提出网络安全是国家安全的基础,着力构建从学历教育到在职教育的人才培养体系,并将网络安全领域的信息安全、计算机安全、信息安全自动化系统、信息安全分析系统、电视通信系统安全、信息防御系统方法和密码学等7个专业作为教育和科技领域的优先发展方向。
三 建议措施
1 出台网络安全人才认定标准及配套政策
建议政府部门与优秀网络安全企业联合制定网络安全职业技能标准,经主管部门认可的相关机构职业培训后,向网络安全从业人员颁发初级、中级、高级认证证书。例如我国国家认证的CISP(注册信息安全专业人员)注册资质证书也已成为网络安全领域人才识别和能力评价的重要依据,以及不少单位招聘时的必备要求。英国2011年制定的《信息安全保障专业人员认证》框架,规定了政府公共部门及其合同厂商的网络安全人员的职责和技术能力要求,以及人员招聘、筛选、培训和管理的具体要求,并以此作为认证和管理网络人员的主要根据。
除此之外建议还需出台一批配套政策,比如在将网络安全专业的学科地位提升至一级学科的高度后,同时需要配备师资、学位点、招生人数、研究教育经费等资源。要尽快研究出台针对网络安全从业人员更有吸引力的薪酬激励制度,既让现有从业人员无后顾之忧,又能够让各种网络安全人才回流。
2 鼓励网络安全人才在政府、企业和学术界顺畅交流
建议高等院校有计划地组织网络安全专业教师赴网信企业、科研机构和国家机关合作科研或挂职,打破体制界限,让网络安全人才可以在政府、企业、智库间实现有序顺畅流动。鼓励政府接纳网络安全企业的人才进行技术交流,这样既有利于政府吸引人才弥补自身缺口,又能够实现彼此间的信息共享。
5月2日签署的美国总统行政令中,明确要求联邦政府内部的网络安全人员需要在机构内部轮岗,并且鼓励企业的网络安全人才进入政府进行交流。这对于联邦政府而言,可以在一定程度上吸引人才,提升自身网络防御水平,这是由于企业部门对网络安全人才给出的工资很高,而联邦政府则缺乏具有竞争力的薪酬,所以很多职位都存在空缺。英国在其Industry 100 计划中,也邀请了私营企业的 100 名员工到国家网络安全中心(NCSC)进行兼职工作。
3 选拔和培养实践型网络安全人才
建议举办高规格民间黑客大赛发现、培养和掌握网安人才。例如英国在2015 年开始实施 的Cyber First 计划,就邀请 11 至 17 岁的青少年参加网络安全挑战赛,培养“下一代网络安全专家”,以此进行人才储备。2019美国最新的总统行政令明确指出要开办总统杯网络安全竞赛,并提供现金奖励。
在校园教育和学科建设上,建议改变传统的课堂式、书本式培养模式,大幅增加实践实训,开展政府、学术界和企业间的合作活动。比如教育部门可以协调高校学生参与到网络安全企业中,明确本科学生必须到企业、政府安全部门等一线实践一到两年,提升实战能力。同时也应大力倡导社会办学和在职培训,例如大力兴办网络安全领域的“蓝翔技校”,大力发展民办网络安全培训机构,快速、批量化地培养网络安全进攻型和防御型人才,多管齐下提高填补网络安全能力缺口的效率。美国国土安全部就组织和建立世界级的网络安全人才提供项目和实践机会,并将此规定写入国家级《网络安全教育战略计划》(NICE)当中。
4 普及网络安全教育
网络安全关键在人。只有社会大众普遍树立基本网络安全意识,掌握基本网络安全技能,国家和社会的网络安全基础才真正牢固。建议开展面向中小学生和社会大众的常态化网络安全教育,让网络安全走进课堂、企业和家庭,促进全民网络安全素质提升。
声明:本文来自360智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。